세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
MS의 패치 튜즈데이, 두 개의 제로데이도 수정해
  |  입력 : 2018-05-09 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이미 해커들이 활용하고 있는 두 개의 제로데이, 패치로 해결
그 외 대중들에게 공개된 취약점 두 개도 패치에 포함시켜


[보안뉴스 문가용 기자] MS의 패치 튜즈데이가 발표됐다. 최근 몇 달간 그랬던 것처럼 ‘시급한 적용’이 필요해 보인다. 총 68개의 취약점들이 패치됐는데, 이 중 두 개는 이미 활발히 공격에 활용되고 있기 때문이다. 이 취약점들이 발견된 MS 소프트웨어는 윈도우, 오피스, 오피스 서비스, 인터넷 익스플로러, 에지, 비주얼 스튜디오, 웹 앱스, 샤크라코어, 하이퍼브이 서버, 애저 IoT SDK다.

[이미지 = iclickart]


68개의 취약점들 중 21개는 치명적(Critical)인 위험도를 가진 것이고, 45개는 중대한(Important) 위험도를 가졌으며, 2개는 위험성이 낮은(Low) 것으로 분류됐다. 그러나 이번 패치에서 가장 중요한 건 이미 해커들이 악용하고 있다고 알려진 두 개의 취약점이다. 그 중 하나는 CVE-2018-8174로 윈도우 VB스크립트 엔진의 원격 코드 실행 취약점이며, 지난 4월 카스퍼스키가 발견한 제로데이 취약점이기도 하다.

카스퍼스키는 “이 제로데이 취약점은 범죄자들이 인터넷 익스플로러를 강제로 로딩시킬 수 있게 해주는 것”으로 “사용자가 평소 어떤 브라우저를 즐겨 사용하든 상관없이 인터넷 익스플로러를 띄움으로서 공격 표면을 넓히는 효과를 가져다 준다”고 설명했다.

이 취약점은 VB스크립트 엔진 내에 있으며, 브라우저 취약점들을 통한 공격과 유사한 공격을 가능하게 해준다. 공격을 발동시키는 악성 코드는 오피스 문서의 형태로 돌아다니고 있으며, 문서 내에는 웹 페이지가 엠베드 되어 있다. 엠베드 된 이 웹 페이지는 VB스크립트 엔진으로 만들어져 있으며, 사용자가 이 페이지에 접속하면 공격자가 사용자의 기기 내에서 코드를 실행할 수 있게 된다.

또 다른 경우 공격자가 가짜 오피스 문서에 IE 엔진을 호스팅하는 액티브엑스나 특정 애플리케이션을 심기도 한다고 한다. 이 경우도 사용자가 문서를 열게 되면 공격자가 설계한 코드가 실행된다.

두 개 중 다른 하나는 CVE-2018-8120이다. Win32k의 권한 상승 취약점으로, 윈도우 7, 윈도우 서버 2008, 윈도우 서버 2008, 윈도우 서버 2008 R2가 영향권 아래 있다. 시스템에 로그인 한 공격자가 이 버그를 익스플로잇 하면 특수하게 조작된 파일을 실행시켜 권한을 상승시킬 수 있게 된다. 현재 해커들이 실질적으로 활용하고 있는 것으로 알려져 있지만, 아직 피해 규모는 알려져 있지 않다.

이 시점까지 공격이 성공하게 되면 공격자는 프로그램의 설치나 제거도 자유롭게 할 수 있게 되며, 사용자를 추가하는 것도 가능하고, 거의 모든 데이터를 열람, 변경, 삭제할 수 있게 된다. 보안 업체 이반티(Ivanti)의 제품 관리자인 크리스 궤틀(Chris Goettl)은 “이런 종류의 취약점은 공격자들이 아주 좋아하는 것”이라며 “최초 침투에 성공한 후 이런 취약점 익스플로잇이 행해지는 게 흔한 패턴”이라고 설명한다.

브라우저 관련 버그 중 이번에 패치가 발표된 건 총 24개인데, 치명적인 위험도를 가진 건 17개, 중요 위험도를 가졌다고 평가된 건 7개다. 오피스 관련 패치도 여러 개인데, 가장 중요한 건 아웃룩과 셰어포인트(Sharepoint)와 관련된 것이라고 트렌드 마이크로는 설명한다. 엑스체인지(Exchange) 관련 업데이트는 명령 주입 공격을 막아주고, 닷넷 프레임워크 관련 패치는 전부 ‘중요 위험도’를 가진 것으로 나타났다.

보안 업체 래피드7(Rapid7)의 수석 보안 분석가인 그렌 와이즈먼(Gren Wiseman)은 “CVE-2018-8897 취약점에도 주의를 기울여야 한다”고 지적한다. “로컬의 공격자가 권한을 상승시켜 커널 모드에서 임의의 코드를 실행시킬 수 있게 해줍니다. 인텔 아키텍처 칩셋에서의 취약점과 관련된 것으로, 마이크로소프트만이 아니라 애플, VM웨어, FreeBSD 및 다양한 리눅스 배포자들이 이 취약점에 대한 권고문을 발표했습니다.”

MS는 두 개의 ‘공개된 취약점’을 추가로 패치에 추가하기도 했다. 이는 위에서 언급한 ‘이미 악용 중에 있는 취약점’ 외에 대중들에게 세부 내용이 공개된 취약점이다. 하나는 CVE-2018-8141로 윈도우 커널과 관련된 오류고, 다른 하나는 CVE-2018-8170으로 윈도우 이미지에서 발생하는 버그다. 이 버그를 통해 권한 상승 공격이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)